sábado, 5 de septiembre de 2015

Auditando con Burpsuite v1.6.12 Professional



Saludos fieles lectores nuevamente mis saludos para todos,tome mucho tiempo en volver a retomar mi humilde blog por motivos personales,deseo mandar saludos a todos mis amigos en general y a todos mis lectores que me han seguido durante todo estos años de vigencia,
Ante mano muchas gracias para todos! :)

Owasp (Open Web Application Security Project) - Este proyecto  lleva años ayudando a la comunidad de seguridad ya que nos permite facilitar nuestras investigaciones de auditorias en un entorno general, a lo largo de estos años ah contribuido un gran apoyo para empresas,organizaciones,estados, y personas independientes a evolucionar cada ves que se actualizan nuevas tendencias en la informática.

Burp suite Professional:


Puede ser utilizado con cualquier Sistema Operativo.


Descarga aquí versión FREE y PRO :
Requisito:

Tener instalado JAVA actualizado, Descargar aquí:






Nueva plataforma de Scanner:

Mis experiencias con esta herramienta es muy buena y estable ya que a nivel mundial se registran ataques grandes con la herramienta Burp Suite como la conocida empresa "Sony".


En este escenario utilizaremos la herramienta Burp suite v1.6.12 Professional de paga  Crackeada :) 
veamos la interface.


Se ve interesante verdad? vayamos a lo interesante,configurar la herramienta de manera sencilla.
Iremos a la casilla Proxy y le da daremos en la parte de abajo "Options" y eligiéremos la Tarjet y le daremos Edit  en la parte de abajo podemos cambiarlo por una IP  y Puerto de un proxy o lo que sea, yo lo dejare estable como local

En esta versión llega con las opciones estándares de Auditoria es lo que mas me agrada por eso la utilizo en mis auditorias cuando me canso de hacerlas de manera manual.

Luego de ello tendremos que abrir cualquier navegador y configurar el proxy en este caso añadir la que escogimos en el Burp Suite, en esta oportunidad utilizare mi fiel amiga Mantra ahora pondremos los datos como vemos en la siguiente imagen:



Luego de eso entraremos al navegador y pegamos la pagina web que vamos a interceptar y nos iremos rápidamente al Burp suite, posteriormente entraremos a la casilla "Proxy"y pondremos
"Intercept"


como podemos observar hemos capturado la conexión de nuestro dispositivo con la red de dicha web,lo haremos sera darle Anti-clip a una URL y escoger la opción Send to Spider , como vemos en la siguiente imagen:

























Como vemos empieza analizar en navegador que estamos utilizando mediante la conexión que establecimos al entrar a la pagina web de manera automática.

de la siguiente manera la herramienta hará un trabajo general de toda la estructura del servidor comprometido, no obstante pasaremos a entrar a la casilla "Tarjet" en la sesión "SiteMap"

Nosotros podemos entrar a los módulos u archivos que esten en el servidor de manera visible, dándonos una auditoria general y añadiendo Script de ataques para los Form de autocompletacion Bypasseando algunos login vulnerables, entonces escogeré un link de los resultados y le pondremos la siguiente opción
















Luego entraremos a la opción  "Scanner" en el modulo "Scan Queue" y comprobaremos si es una vulnerabilidad, no un Falso Positivo 


No solamente puede ejecutar 1 por 1 ,si no que podemos auditar en general el escaneo, pero lo hice de manera individual para terminar esto de la manera mas rápida posible, como vemos tenemos vulnerabilidades Form Cleat-Text no obstante también lo siguiente:

SQL inyección que puede ser explotada mediante las Cokkies .


available databases [34]:
[*] information_schema
[*] unica_1
[*] unica_admision
[*] unica_alavanguardia
[*] unica_alavanguardia2
[*] unica_alumnos
[*] unica_asistencia
[*] unica_cci
[*] unica_centrocultural
[*] unica_cepu2011
[*] unica_cepu2012
[*] unica_cepu2012_1
[*] unica_chamilo
[*] unica_convention
[*] unica_dbresultados2011
[*] unica_dbresultados2011ok
[*] unica_egresados
[*] unica_empleo
[*] unica_indprocquimicos
[*] unica_investigacion
[*] unica_noticias
[*] unica_odontologia
[*] unica_onebase
[*] unica_onebasei
[*] unica_panacea
[*] unica_pedagogia
[*] unica_prueba
[*] unica_quimica
[*] unica_recursosh
[*] unica_registro
[*] unica_revista
[*] unica_taller
[*] unica_unica
[*] unica_wordpress


Esto es todo un saludo especial para todos 

4 comentarios:

Datos del Autor

Estudiante de Ingeniería de computación y sistemas en Perú.
actualmente me estoy dedicando a dar ponencias sobre seguridad Informática.
Soy una persona sencilla y humilde que me encanta aprender nuevos temas en mis tiempos libres.

"Me considero un novato en busca de conocimiento"


Entradas Populares